IMEI 유출 땐 ‘심 스와핑’ 우려…위약금 면제 논의 급물살
전체 맥락을 이해하기 위해서는 본문 보기를 권장합니다.
SK텔레콤 해킹으로 인한 고객 정보 유출이 애초 알려진 것보다 훨씬 광범위하게 이뤄진 것으로 확인됨에 따라 가입자의 피해 위험성이 매우 커졌다.
단말기 고유 식별 번호(IMEI)는 해킹되지 않아 유심(USIM, 가입자 식별 모듈)을 교체하기 전에 유심 보호 서비스 가입으로 비정상 인증을 막을 수 있다고 강조했던 SK텔레콤의 주장은 신뢰를 잃었다.
이 글자크기로 변경됩니다.
(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.
IMEI- 단말기 고유 식별 번호
- 임시저장 정보 안전성 불투명
- 개인정보보호법 위반 여부 부각
- SKT측 “복제피해 등 100% 보상”
SK텔레콤 해킹으로 인한 고객 정보 유출이 애초 알려진 것보다 훨씬 광범위하게 이뤄진 것으로 확인됨에 따라 가입자의 피해 위험성이 매우 커졌다. 단말기 고유 식별 번호(IMEI)는 해킹되지 않아 유심(USIM, 가입자 식별 모듈)을 교체하기 전에 유심 보호 서비스 가입으로 비정상 인증을 막을 수 있다고 강조했던 SK텔레콤의 주장은 신뢰를 잃었다.
19일 SK텔레콤 침해사고 민관 합동조사단에 따르면 IMEI 보관 서버와 연동된 서버에 임시로 저장됐던 29만1831건의 IMEI가 약 1년 6개월(2022년 6월 15일부터 지난해 12월 2일까지) 동안 안전하게 보관됐는지 여부가 불투명하다. IMEI 유출 가능성이 드러난 것이다. 이 시기 SK텔레콤의 방화벽 로그 기록이 남아 있지 않다. 과학기술정보통신부와 SK텔레콤은 그간 IMEI가 유출되지 않았고 유출된 가입자 인증 키(IMSI, International Mobile Subscriber Identity) 등으로는 유심 복제를 하더라도 해커들이 IMEI를 모르기 때문에 비정상 인증을 할 수 없다고 설명해왔다.
가입자들의 IMEI까지 유출됐다면 ‘심 스와핑’ 등 피해 위험성이 더욱 커진다는 게 전문가들 설명이다. 심 스와핑이란 유심을 복제해 다른 스마트폰에 꽂아 불법적인 행위를 하는 수법이다. 염흥열 순천향대 정보보호학과 교수는 “유심 보호 서비스의 유효성에도 문제가 생길 수 있다”고 말했다.
조사단은 “개인정보 등이 저장된 문제의 서버들을 확인한 지난 11일 SK텔레콤에 정밀 분석이 끝나기 전이라도 자료가 유출될 가능성에 대해 자체적으로 확인하는 한편 이로 인한 국민 피해를 예방할 수 있는 조치를 마련하라고 요구했다”고 설명했다.
조사단은 개인정보 유출 건에 대해서는 개인정보보호위원회에서 정밀한 조사가 필요한 사항이라고 보고 개인정보보호위원회에 지난 16일 서버 자료를 공유했다. SK텔레콤이 ▷로그 기록을 4개월여라는 짧은 기간 보관한 것 ▷유출된 개인정보를 암호화하지 않은 등의 개인정보보호법 위반 여부는 개인정보보호위원회가 판단할 예정이다.
이날 2차 조사 결과가 나오면서 SK텔레콤 위약금 면제 논의가 다시 활발해졌다. 류제명 과학기술정통부 네트워크정책실장은 “조사단 결과를 종합해 (위약금 면제를 규정한) 약관 해석을 어떻게 할지 엄정히 판단하겠다는 태도에는 변화가 없다”며 “이번 해킹이 특정 데이터베이스를 목표로 해 탈취하고 다크웹 등에서 거래를 시도하는 양상과 달라 해커의 서버 침입 목적 등을 면밀하게 들여다보고 있다”고 말했다. SK텔레콤은 위약금 면제에 대해 종합적으로 판단해 알리겠다는 기존 입장을 되풀이했다.
SK텔레콤은 이날 브리핑에서 FDS(비정상 인증 차단 시스템)를 통해 가입자, 단말기, 유심 이상 사용을 종합적으로 감지하고 정상 가입자의 휴대전화가 꺼져 있는 상태에서도 안전하게 보호하고 있다고 설명했다. 또 불법 유심 복제뿐만 아니라 불법 단말기 복제로 인한 피해 발생 때도 100% 책임진다고 발표했다.
Copyright © 국제신문. 무단전재 및 재배포 금지.